Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk AWS Secrets Manager
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.
AWS kebijakan terkelola: SecretsManagerReadWrite
Kebijakan ini menyediakan akses baca/tulis AWS Secrets Manager, termasuk izin untuk mendeskripsikan sumber daya AmazonRDS, Amazon Redshift, dan Amazon DocumentDB, serta izin yang digunakan untuk mengenkripsi dan mendekripsi rahasia. AWS KMS Kebijakan ini juga memberikan izin untuk membuat set AWS CloudFormation perubahan, mendapatkan templat rotasi dari bucket Amazon S3 yang dikelola oleh AWS, mencantumkan AWS Lambda fungsi, dan menjelaskan Amazon. EC2 VPCs Izin ini diperlukan oleh konsol untuk mengatur rotasi dengan fungsi rotasi yang ada.
Untuk membuat fungsi rotasi baru, Anda juga harus memiliki izin untuk membuat AWS CloudFormation tumpukan dan peran AWS Lambda eksekusi. Anda dapat menetapkan kebijakan IAMFullAccessterkelola. Lihat Izin untuk rotasi.
Detail izin
Kebijakan ini mencakup izin berikut.
-
secretsmanager— Memungkinkan kepala sekolah untuk melakukan semua tindakan Secrets Manager. -
cloudformation— Memungkinkan kepala sekolah untuk membuat tumpukan. AWS CloudFormation Ini diperlukan agar prinsipal yang menggunakan konsol untuk mengaktifkan rotasi dapat membuat fungsi rotasi Lambda melalui tumpukan. AWS CloudFormation Untuk informasi selengkapnya, lihat Bagaimana Secrets Manager menggunakan AWS CloudFormation. -
ec2— Memungkinkan kepala sekolah untuk menggambarkan Amazon. EC2 VPCs Ini diperlukan agar prinsipal yang menggunakan konsol dapat membuat fungsi rotasi VPC sama dengan database kredensi yang mereka simpan secara rahasia. -
kms— Memungkinkan kepala sekolah untuk menggunakan AWS KMS kunci untuk operasi kriptografi. Ini diperlukan agar Secrets Manager dapat mengenkripsi dan mendekripsi rahasia. Untuk informasi selengkapnya, lihat Enkripsi rahasia dan dekripsi di AWS Secrets Manager. -
lambda- Memungkinkan kepala sekolah untuk mencantumkan fungsi rotasi Lambda. Ini diperlukan agar prinsipal yang menggunakan konsol dapat memilih fungsi rotasi yang ada. -
rds— Memungkinkan kepala sekolah untuk menggambarkan cluster dan instance di Amazon. RDS Ini diperlukan agar prinsipal yang menggunakan konsol dapat memilih RDS cluster atau instance Amazon. -
redshift— Memungkinkan kepala sekolah untuk menggambarkan cluster di Amazon Redshift. Ini diperlukan agar prinsipal yang menggunakan konsol dapat memilih cluster Amazon Redshift. -
redshift-serverless— Memungkinkan kepala sekolah untuk mendeskripsikan ruang nama di Amazon Redshift Tanpa Server. Ini diperlukan agar prinsipal yang menggunakan konsol dapat memilih ruang nama Amazon Redshift Tanpa Server. -
docdb-elastic— Memungkinkan prinsipal untuk menggambarkan cluster elastis di Amazon DocumentDB. Ini diperlukan agar prinsipal yang menggunakan konsol dapat memilih cluster elastis Amazon DocumentDB. -
tag— Memungkinkan kepala sekolah untuk mendapatkan semua sumber daya di akun yang diberi tag. -
serverlessrepo— Memungkinkan kepala sekolah untuk membuat AWS CloudFormation set perubahan. Ini diperlukan agar prinsipal yang menggunakan konsol dapat membuat fungsi rotasi Lambda. Untuk informasi selengkapnya, lihat Bagaimana Secrets Manager menggunakan AWS CloudFormation. -
s3— Memungkinkan prinsipal untuk mendapatkan objek dari bucket Amazon S3 yang dikelola oleh. AWS Ember ini berisi LambdaTemplat fungsi rotasi. Izin ini diperlukan agar prinsipal yang menggunakan konsol dapat membuat fungsi rotasi Lambda berdasarkan templat di bucket. Untuk informasi selengkapnya, lihat Bagaimana Secrets Manager menggunakan AWS CloudFormation.
Untuk melihat kebijakan, lihat dokumen SecretsManagerReadWrite JSON kebijakan.
Secrets Manager memperbarui kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Secrets Manager.
| Perubahan | Deskripsi | Tanggal | Versi |
|---|---|---|---|
|
SecretsManagerReadWrite – Pembaruan ke kebijakan yang ada |
Kebijakan ini diperbarui untuk mengizinkan akses deskripsikan ke Amazon Redshift Tanpa Server sehingga pengguna konsol dapat memilih namespace Amazon Redshift Tanpa Server saat mereka membuat rahasia Amazon Redshift. |
Maret 12, 2024 | v5 |
|
SecretsManagerReadWrite – Pembaruan ke kebijakan yang ada |
Kebijakan ini diperbarui untuk memungkinkan akses deskripsikan ke cluster elastis Amazon DocumentDB sehingga pengguna konsol dapat memilih cluster elastis saat mereka membuat rahasia Amazon DocumentDB. |
12 September 2023 | v4 |
|
SecretsManagerReadWrite – Pembaruan ke kebijakan yang ada |
Kebijakan ini diperbarui untuk mengizinkan akses deskripsikan ke Amazon Redshift sehingga pengguna konsol dapat memilih klaster Amazon Redshift saat mereka membuat rahasia Amazon Redshift. Pembaruan juga menambahkan izin baru untuk memungkinkan akses baca ke bucket Amazon S3 yang dikelola AWS oleh yang menyimpan templat fungsi rotasi Lambda. |
24 Juni 2020 | v3 |
|
SecretsManagerReadWrite – Pembaruan ke kebijakan yang ada |
Kebijakan ini diperbarui untuk mengizinkan akses deskripsikan ke RDS kluster Amazon sehingga pengguna konsol dapat memilih klaster saat mereka membuat RDS rahasia Amazon. |
3 Mei 2018 | v2 |
|
SecretsManagerReadWrite – Kebijakan baru |
Secrets Manager membuat kebijakan untuk memberikan izin yang diperlukan untuk menggunakan konsol dengan semua akses baca/tulis ke Secrets Manager. |
4 April 2018 | v1 |
